Архив рубрики: Virus

>Зловреды: как нас заражают

>

Уже не в первый раз имел я некие споры с разными людьми, знакомыми, не очень и даже коллегами, которые до сих пор думают, что основной метод для заражения для зловредов это использование уязвимостей, не требующее от пользователя быть идиотом помощником в этом нелегком деле. Я же полагаю (и имею братьев по оружию, которые меня поддерживают), что главной угрозой является как раз упомянутый выше… Эээ… Ну давайте переформулируем так: недостаток образования и халатность. О чем я говорю? Что ж, некоторые источники рассказали мне на ушко, что самые успешные, с точки зрения инсталляционной базы, зловреды устанавливают себя через USB флешки, открытые в общий доступ диски и прочие, требующие вовлечения пользователя, технологии.  Например, в отчете SIR №9 от Microsoft (первая половина 2010) мы легко увидим следующую таблицу:

1

Win32/Taterf

2

Win32/Frethog

3

Win32/Renos

4

Win32/Rimecud

5

Win32/Conficker

6

Win32/Autorun

7

Win32/Hotbar

8

Win32/FakeSpypro

9

Win32/Alureon

10

Win32/Zwangi

 

Это top10 семейств зловредов, обнаруженных на компьютерах. Первый – наиболее часто встречающийся, последний – наименее (из top10, конечно же) часто. Теперь я просто повторю ту же таблицу, но с добавлением механизмов заражения:

1

Win32/Taterf

Win32/Taterf это семейство червей, которые распространяются через открытые в общий доступ диски.

2

Win32/Frethog

Распространяется через…

Mapped Drives

3

Win32/Renos

Скачивание “видеокодеков” и других “вкусняшек” со злонамемренных сайтов. 
4

Win32/Rimecud

Win32/Rimecud это семество червей, распространяющихся через съемные носители и IM. 
5

Win32/Conficker

Не могу спорить: этот распространяется через уязвимость. А еще через съемные носители и слабые пароли.
6

Win32/Autorun

Ну и здесь не поспоришь: авторан. Съемные и прочие носители.
7

Win32/Hotbar

Набор “установи это сам”. Правда.
8

Win32/FakeSpypro

Rogue:Win32/FakeSpypro может быть установлен пользователем с сайта программы или тем же пользователем, но с применением социальной инженерии.
9

Win32/Alureon

Ручные скачки (кейгены, ПО в нагрузку, etc…)
10

Win32/Zwangi

Ручные скачки.

 

Знаете что? Пока писал это, даже расхотелось дискутировать. Прочитайте еще один отчет. И хватит на этом: нет нужды хакать Ваш компьютер, если можно хакнуть Вашу голову.

Будьте осторожны хотя бы уж в этом году и в последующие. Заставьте хакеров быть более изобретательными Winking smile

>К вопросу о скачивании файлов в неподобающих местах.

>

Не так давно вышла Windows 7 Release Candidate, что лично меня, несомненно, радует, означая, что Release To Manufacture так же не за горами. Но, разумеется, только об этом я бы не стал писать. А статья вот о чем. На форумах TechNet, на которых Ваш покорный слуга не слишком ревностно в последнее время подрабатывает вышибалой модератором, нашей команде модераторов пришлось вынести удалить за последнее время немалое количество сообщений, содержащих рассуждения о сборках (или ссылки на таковые) Windows 7, которые не поступали на тот момент в общественное пользование для ознакомления, а, следовательно, были раздобыты на каких-нибудь торрентах или в других p2p сетях.

На нас обижались, но мы продолжали гнуть свою линию, и будем продолжать ее гнуть. Почему? Все очень просто. Новость слегка устаревшая, но я, тем не менее, о ней напишу. Итак, расписание событий:

1) 30 апреля Windows 7 RC становится доступной для скачивания подписчикам TechNet.

2) В тот же день в торрентах становится доступной для скачивания такая же RC версия. Почти такая же. За исключением того, что в эту версию уже был интегрирован троян.

Нужно ли говорить, что таким образом “заряженная” Windows практически с ходу делает бесполезными практически все известные антивирусы? Они просто этот троян не найдут (разве что троян написан спустя рукава). WU так же работать не будет.

Нужно ли повторять, что скачивание из подобных источников исполняемых файлов и дистрибутивов уже достаточно рискованно. Скачивание дистрибутивов ОС, для которых не известен хотя бы хэш-код, равносильно убийству своих данных и получению негативного опыта использования ОС? Заметьте, я не говорю и даже не заикаюсь о законности. Черт с ней, все равно через пять дней все стало доступно каждому. Но фраза сына Володи Безмалого, про то, что многих людей покусали бараны все больше потрясает чеканностью и филигранностью формулировки, ибо на данный момент ботнет, состоящий из жертв этого трояна, насчитывает более 25000 компьютеров. Даже добавить нечего.  =)

>Vista UAC: почему не выключать.

>

Да-да, я все же решил наступить на любимую мозоль IT сообщества. Такого количества нареканий не вызывала на моей памяти ни одна особенность ОС. Эпитеты даются от "великолепный" "ублюдочный" до "выключить его к чертовой бабушке". Самое проблематичное, что объяснить, как это работает, и каким образом Вас защищает без погружения в пучины океана сложные для любого непрограммиста рассуждения почти невозможно. Зато "неудобства" видны сразу, потому что как только мы пытаемся запустить приложение, которое написано без учета UAC, устаревшее приложение, некачественно написанное приложение или произвести административное действие — вот оно — UAC тут как тут. Однако сегодня можно привести понятный всем пример. Хотя и не удержусь, чтобы не проехаться по "неудобствам"

Если говорить о программах, то здесь все ясно — на самом деле нужно обращаться в поддержку программы и требовать версию, которая поддерживает UAC. В некоторых случаях, конечно, придется терпеть, потому что замены нет и не будет. Но таких случаев не так чтобы много.

Что касается административных действий… Я, как системный администратор даже не работе не так часто встречаюсь с необходимостью оных. Несколько инструментов у меня запущены весь день, остальные запускаются не так чтобы часто. Потому мне лично UAC просто помогает: нет необходимости производить дополнительные манипуляции, чтобы запустить нужные утилиты под учетной записью администратора (да-да, я работаю под обычным пользователем) — да здравствует легко и удобно применяемый принцип наименьших привилегий!!! =)

Однако вернемся, наконец, к тому, с чего я начал: сегодня мы можем показать наглядно, как нас может защитить UAC. Собственно, мне даже показывать ничего не придется, достаточно привести ссылку на статью в PCWorld, которая описывает результаты некоего теста, проведенного вполне уважаемой организацией — AVTest.org.  В этом тесте вполне очевидно проявила себя состоятельность UAC (несмотря на то, что цель теста была совершенно иной — испытание anti rootkit средств). Мало того, что встать на Vista смогли только 6 руткитов из 30 (что, само по себе ни о чем не говорит — ну не выпустили пока достаточного количества руткитов для Vista — еще успеют), так эти шесть вредоносных комплексов еще и смогли быть установленными на Vista только после выключения UAC. Отсюда вывод — выключите UAC — снизите защиту. Думаю, что хоть теперь это достаточно очевидно =)

Если же кто-то заинтересуется непосредственно тем, которое из антизловредных программ лучше вправляется с руткитами — добро пожаловать для прочтения самого отчета.

>Malware Removal Starter Kit.

>

Перво-наперво извиняюсь за длительное отсутствие. У меня тут импровизированный отпуск, но скоро обещаю исправиться.

Что касается самой новости… Собственно, это не особенно и новость — давно понятно, что когда происходит заражение компьютера каким-либо вредоносным кодом, то online сканирование (то есть сканирование средствами, установленными на зараженную ОС) может и не дать результатов. Многие вирусы/троянцы/рекламные модули/и т.д. умело скрываются от большинства сканирующих программ в случае, если попали на компьютер до этих программ. В таких случаях остается одно из следующего:

  • снять с компьютера винчестер и отсканировать его на другом, 100% незараженном, компьютере;
  • провести оффлайн сканирование (то есть загрузить на компьютере другую ОС с установленным антивирусным/антишпионским ПО).

Понятно, что первое не всегда возможно и всегда неудобно. А для второго нужны специальные средства. Некоторые производители предоставляют такие средства (например, была возможность создать несколько дискет в KAV, к сожалению, не знаю, есть ли она сейчас). Кроме того, в интернете и на форумах существуют различные how to и прочие советы по созданию таких средств на коленке, как правило, на основе Linux. А теперь мы дождались подобного how to и от Microsoft. Разумеется, на основе WinPE, а не *nix. В принципе, большой разницы в том, какой именно ОС управляется мой антивирус я не вижу, но для тех, кто малознаком с разными *nix системами возможность использовать WinPE будет преимуществом.

Теперь, собственно о документе. О нем и сказать-то можно мало — его лучше просто прочитать и использовать, если есть такая необходимость. Называется документ, как следует из названия сообщения «Malware Removal Starter Kit». Найти его можно здесь. Короткое описание здесь. В файле пошагово описаны действия, которые нужно совершить, чтобы получить компакт-диск с WinPE и нужным ПО, описаны способы устранения последствий заражения. Кроме того, есть масса ссылок, которые я бы прочитал на месте всех интересующихся темой.

Собственно, наверное, и вся новость. Остается только напомнить, что простое прочтение этого документа ничего не даст Вам в деле борьбы с вирусами. Необходимо заранее (до инцидента) спланировать свои действия в случае заражения и подготовить необходимый инструмент для устранения последствий. Если не будет выполнена эта часть, то Вы обречены делать это в спешке, совершая ошибки и теряя время. Ну и забывать о построении антивирусной защиты не стоит забывать.

 

>Вирус под iPod

>Дожились. Вирусы под iPod. Пока, правда, только proof-of-concept. И заразиться им крайне сложно. Для этого нужно:

  1. Иметь iPod
  2. Перепрошить его родную ОС на Linux
  3. и поймать, наконец-таки этот вирус.

Ничего страшного он не делает, только выводит надпись. Тем не менее — вирусы под iPod есть — доказано Касперским.

Кто следующий?

Источник